■
Russell Cokerさんとの勉強会が終わったころかな。
英語キーボードになったので、タイプミス続発。。。
全然関係ないけど、breakって、「分岐する」みたいな意味もあるんですね。
selinux-usersの投稿で初めて知った。
今日の変更点
- audit2spdlのログ中のタイプ->フルパスファイル名変換ロジックの改善。
以下のロジックでフルパスを推測。
-
- 1.ログの type=, ino=, name=から、タイプ、inode番号, ファイル名を得る。
- 2.ausearch で, AVC_PATHエントリを探してフルパス名を得る
- 3. ausearchが動かないとき(auditdが動いてないときはそうなる), locateコマンドを使う。
- locate (1で得たname) として、一覧のファイルのinode番号と1で得たinode番号を比較、一致すればフルパスが得られる。
- チュートリアル
- audit2spdlの使い方と、新規ドメインの作り方を途中まで
- http://seedit.sourceforge.net/test/tutorial/
